В июле 2025 года рынок криптовалют потряс резкий обвал токена Kinto, который менее чем за час упал в цене на 90%. Это произошло после того, как злоумышленник воспользовался тайной уязвимостью в смарт-контракте проекта и смог создать более 110 тысяч новых токенов K, после чего вывел значительные средства из ликвидных пулов проекта. Инцидент привлек внимание всей криптоиндустрии и вновь поднял вопросы о безопасности используемых стандартов и необходимости глубокого аудита протоколов DeFi. Kinto — это слой 2 блокчейн-сеть с упором на соблюдение нормативных требований, построенная на базе Ethereum и использующая стек Arbitrum Nitro. Команда проекта позиционирует Kinto как безопасное и соответствующее требованиям регулирования решение с интеграцией нативного KYC и AML.
Однако именно этот проект пострадал от последствия ошибки, связанной с использованием широко распространенного стандарта прокси-контрактов ERC1967Proxy. Ошибка становится особенно значимой при рассмотрении того, что ERC1967Proxy — это стандарт, включенный в библиотеки OpenZeppelin и используемый тысячами разработчиков для создания обновляемых смарт-контрактов без изменения их адресов. Главная идея прокси — это отделение логики контракта от его данных, что позволяет обновлять логику без необходимости миграции активов и изменения взаимодействия пользователей с адресом. Несмотря на этот плюс, недавно обнаруженная уязвимость позволила злоумышленникам получить контроль над административными функциями прокси, Исследователи по безопасности, в том числе специалисты из Venn Build, Dedaub, SEAL 911 и аналитик pcaversaccio, выявили, что благодаря этой уязвимости можно вставить зловредных администраторов прокси, обманывая при этом такие инструменты, как Etherscan и Arbiscan. Эта ошибка в протоколах отображения данных блокчейнов осложнила своевременное выявление атаки и реакцию со стороны пострадавших проектов.
Соучредитель Kinto Рамон Рекуэро в своем Twitter подтвердил, что команда не была уведомлена о проблеме до того, как она стала публичной, хотя другие проекты получили оповещения и смогли предпринять защитные меры. Отсутствие своевременного информирования и последующий слив уязвимости в открытый доступ, по всей видимости, спровоцировали злоумышленника на атаку именно на Kinto. Атакующий смог выпустить 110 000 новых токенов K, которые впоследствии были использованы для вывода средств из Morpho Vault, а также из ликвидного пула Uniswap v4. На сумму выведенных активов влияет миграция между разными протоколами через мосты и свопы, что усложняет отслеживание и создает вопросы по обеспечению безопасности межпротокольных операций. За очень короткий промежуток времени цена на K-инчик обрушилась с 7,69 долларов до всего 0,50, что эквивалентно потере почти 13 миллионов долларов рыночной капитализации.
Внезапный шок и паника среди инвесторов отразились на торговой активности и дальнейшем развитии проекта. Несмотря на критический характер событий, Рекуэро подчеркнул, что ядро сети Kinto, включая кошельки, мосты и пользовательский интерфейс, остались невредимы, а «утечка» касалась только прокси-контрактов. Главный разработчик взял на себя ответственность за произошедшее и заверил сообщество в том, что команда приложит все усилия для восстановления. По словам Рамона, с командами правоохранительных органов на Каймановых островах и экспертами по безопасности (ZeroShadow, Venn Build) ведется активное расследование, направленное на поимку преступника. Анализ показал, что все «признаки указывают на Lazarus» — известную хакерскую группу, спонсируемую Северной Кореей, которая была ранее замешана в масштабных атаках, включая взлом Bybit на 1,5 миллиарда долларов.
План команды предусматривает откат балансов токенов к моменту, предшествующему атаке, реставрацию Morpho Vault и ликвидности Uniswap, а также повторное размещение K на централизованных биржах по цене, близкой к докризисной — 7,48 долларов. Выполнение этих задач потребует слаженной работы как разработчиков, так и сообщества, чтобы вернуть доверие инвесторов и стабилизировать проект. С другой стороны, критики в соцсетях указывали на пренебрежение аудиторскими проверками и излишнюю уверенность команды в популярности и «проверенности» стандартов, таких как OpenZeppelin ERC1967Proxy. Пользователь с ником @SemiDeFi назвал настройку прокси-контрактов проектом «небрежной», что, по его мнению, и привело к пробою безопасности. Рамуэро в ответ отметил, что данные контракты прошли аудит более чем 30 независимых компаний и существуют в экосистеме уже более 10 лет, считаясь базовым решением для обновления контрактов.
Очевидно, что даже проверенные и устоявшиеся решения могут содержать скрытые уязвимости, проявляющиеся в сочетании условий или в новых обстоятельствах. С момента запуска Kinto в 2023 году Кинто сумел привлечь значительные суммы, включая 80 миллионов долларов зафиксированной стоимости к декабрю 2024 и инвестиции от институциональных игроков, таких как Brevan Howard Digital с весомым вливанием в феврале 2025. Однако серьезный урон, нанесенный хаком, существенно подорвал проект и вызвал вопросы о его будущем. Случай Kinto стал очередным тревожным сигналом для всего DeFi-сообщества. Он демонстрирует, насколько важна бдительность вокруг уязвимостей даже в широко используемых и аппробированных стандартах.
Атака показывает, что интеграция прокси-контрактов не должна восприниматься как «автоматическая безопасность» и требует тщательного и комплексного аудита, учета возможных рисков при публикации кода и в коммуникациях с сообществом. Криптоэксперты подчеркивают необходимость развития новых практик безопасности — в частности, более прозрачной системы раннего уведомления проектов об обнаруженных багах и скоординированных действий по предотвращению атак. Также важным аспектом является усовершенствование инструментов мониторинга, анализа и отображения данных в блокчейнах, таких как Etherscan и Arbiscan, чтобы исключить возможность обмана и маскировки мошеннических действий. Инцидент с Kinto подтверждает, что несмотря на активное развитие криптоиндустрии и внедрение инноваций, атаки на уровне смарт-контрактов и протоколов остаются одной из главных угроз для децентрализованных финансов. Переосмысление подходов к безопасности, осознание потенциальных слабых мест стандартов и постоянная работа над повышением устойчивости систем являются ключом к сохранению доверия инвесторов и долговременному успеху DeFi-проектов.
Наконец, история Kinto служит уроком как для новых, так и для опытных игроков в криптопространстве: нельзя полагаться исключительно на авторитет или популярность используемых решений, необходимо развивать культуру безопасности и учитывать все возможные риски на каждом этапе разработки и эксплуатации блокчейн-продуктов.
